智慧政务信息安全管理体系 建设咨询方案 生命周期 客体对象 提交时间 最新版本 草案 政务系统 V1.0 X年4月 目 录 一、项目总体概述 ............................................................................................... 3
1.1项目背景 ............................................................................................................. 3 1.2需求分析 ............................................................................................................. 3 1.3建设内容 ............................................................................................................. 3 1.4项目目标 ............................................................................................................. 4 1.5建设范围 ............................................................................................................. 4 1.6建设依据 ............................................................................................................. 5 二、建设咨询方案 ............................................................................................... 5 2.1在信息安全年中的位置 ..................................................................................... 5 2.2管理体系工作分解 ............................................................................................. 6 2.2.1信息安全管理体系规范.............................................................................. 6 2.2.1.1面向对象 .............................................................................................. 6 2.2.1.2内容设计 .............................................................................................. 6 2.2.1.3任务描述 .............................................................................................. 6 2.2.2信息安全管理体系操作指南...................................................................... 7 2.2.2.1面向对象 .............................................................................................. 7 2.2.2.2内容设计 .............................................................................................. 7 2.2.2.3任务描述 .............................................................................................. 7 2.2.3应急响应体系建设...................................................................................... 8 2.2.4信息安全管理体系验证手段...................................................................... 8 2.3管理体系工作流程 ............................................................................................. 9 2.3.1参与信息安全总体战略规划讨论制定...................................................... 9 2.3.2编写管理体系总体要求(即《信息安全管理办法》)............................ 9 2.3.3信息安全管理体系操作指南建设.............................................................. 9 2.3.4应急相应体系建设...................................................................................... 9 2.3.5信息安全管理体系验证手段.................................................................... 10 三、费用预算 ..................................................................................................... 10
2 / 10
一、项目总体概述
1.1项目背景
推进X区智慧政务信息安全年建设,是X深入贯彻“两化融合”建设的重要举措,是X加快实现创新驱动、转型发展的重要保障,是深化构建“智慧X,创意无限”的重要内容,也是X信息化新一轮发展的必要条件。X区信息化历经十年建设和发展, 经历了“起步发展、要素准备、一体优化、全面提升” 四个阶段,当前整体水平保持较高水准,基础建设和多项应用达到先进水平,连续多年通过信息安全等级保护测评。
X区智慧政务信息安全年目标,通过让领导、信息安全专家、信息安全咨询机构或信息安全设备及系统提供商参与互动平台,共同研讨制定符合X区实际情况的整体信息安全战略规划。旨在建立完善的安全管理体系和信息安全防护技术保障体系,建立安全管理中心,能够实时监控和及时预警政务信息系统的异常状态, 针对网络和信息安全事件,建立整套可执行的应急预案。综合引入系统化的管理、扎实技术保障、规范的日常运营、主动式全员参与的并且可以可视可度量的立体安全防御体系。
1.2需求分析
为了推进X区智慧政务信息安全年建设,建立一套符合X区政务信息安全安全管理制度是非常必要。有了统一的管理办法,能够更好的管理政务信息安全,将对全区的信息安全专项建设和运行管理提供指南和规范,并对X区各委办局和信息系统运营管理单位提供信息安全保障的依据。上海X信息技术有限公司根据X区现有网X全状况,提出了以下建设需求:
1、
X区智慧政务信息安全管理体系建设;
1.3建设内容
本项目建设中,要求完成信息安全管理体系总体架构的设计,系统运维、废弃阶段的管理规范设计以及相关的信息安全监督检测体系设计。结合国家等级保
3 / 10
护建设的基本要求和相关政策,并参考国际流行信息安全管理标准设计一套适合X区的信息安全管理体系,并建立合理和可行的信息安全监督管理和检测机制,以持续完善和改进X区的政务应用及网站群的安全状况。
具体包括以下工作任务:
? 在充分调研的基础上,完善现有的信息安全管理体系设计;
? 规范信息系统建设、运营流程,根据管理体系的要求细化各阶段输入输
出,使其真正融入系统运营的各个阶段;
? 评估服务外包团队的安全工程过程能力,并对其输入输出进行规范化管
理;
? 设计完善的管理评估和技术检测流程,有效监控信息系统运行状态,评
估管理体系执行情况;
对信息化管理人员、系统运维人员和使用人员进行系统的信息安全管理体系实践培训,确保管理体系的落实情况。
1.4项目目标
通过为X区建立有效的智慧政务信息安全管理体系,将政府网站群及政务应用的技术建设、日常运维及电子政务的规划都纳入到一个可量化和可考核的信息安全管理体系之中,结合技术监控检查手段,管理与技术并举,有效保障现有信息系统安全。
最终实现标准化、规范化和流程化的管理措施和方法,将“三分技术,七分管理”的全球流行安全理念融入到政务网络实际建设中,在信息系统建设的生命周期中提供全面的信息安全管理保障措施,实现整个政务应用系统的可控、可管和可持续发展。
1.5建设范围
安全年建设规划涉及的单位、人员、系统等包括: 单位:X区信息委、各委办局、镇街道等;
系统:X区门户网站群系统、政务网系统、云办公系统、移动设备接入等;
4 / 10
人员:相关管理部门领导、信息安全管理员、系统使用者、公众等。
1.6建设依据
《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)要求;
《上海市公共信息系统安全测评管理办法》(2006年5月7日上海市人民政府令第58号公布,以下简称《办法》),做好本市公共信息系统安全测评工作;
工业和信息化部办公厅《关于委托开展政府网站安全管理试点工作的通知》(工信厅协函〔2011〕416号);
国务院办公厅和工信部《关于进一步加强政府网站管理工作的通知》(国办函[2011]40号);
《上海市人民政府办公厅关于进一步加强政府网站安全管理工作的意见》(沪府办〔2011〕74号);
《上海市网络与信息安全协调小组办公室关于启动实施上海市电子政务数字证书应用示范项目的通知》(沪信息委安(2006)178号)的要求;
工业和信息化部《关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕451号)精神;
《中华人民共和国计算机信息系统安全保护条例》; 《信息安全等级保护管理办法》;
沪网安办[2012]2号文《上海市政府网站安全保障指南(试行)》; 沪网安办[2012]4号文《关于进一步做好政府网站安全管理试点工作的通知》。
二、建设咨询方案
2.1在信息安全年中的位置
X区智慧政务信息安全年的工作内容主要包括区域信息安全战略规划,信息安全管理体系建设和其他专项安全建设内容。
5 / 10
其中,全面系统的智慧政务信息安全管理体系建设是基于战略规划而提出的,所以前期调研和体系设计均应与战略规划同步实施,而其编制和宣贯过程则遵照战略规划的步骤进行实施。
智慧政务信息安全管理体系作为总体要求和操作规范,将对全区的信息安全专项建设和运行管理提供指南和规范,并对X区各委办局和信息系统运营管理单位提供信息安全保障的依据。
2.2管理体系工作分解 2.2.1信息安全管理体系规范
2.2.1.1面向对象
全区各委办局、信息中心和企事业单位。
2.2.1.2内容设计
对X区各单位的人员、设备、制度、技术支持等方面提出总体安全要求,约定其信息安全管理保障体系建设所应遵守的策略和规范,为信息安全年各项工作的顺利开展和之后信息安全保障能力的稳步提升提供参考依据。
2.2.1.3任务描述
信息安全管理体系规范建设任务主要为体系设计和文档开发工作,将编制一整套《X区信息安全管理办法》,供各单位参考执行。具体内容包括:
(1)责任体系建设:明确委办局、信息中心、系统运营单位等各部门职责,规范各主体的信息安全管理范围和工作衔接关系;
(2)信息安全管理策略:以书面形式确定X区信息安全保障的整体目标、安全管理范围,以及信息安全管理的控制目标和控制措施框架;
(3)信息安全管理办法:根据初步调研结果和安全战略规划的要求,设计面向全区的信息安全管理办法,各委办局可直接参考执行,或根据实际情况参考
6 / 10
编制更加详细的管理办法,包括以下几个方面(调研后可能根据X区现状进行调整):
《物理环境和设备管理办法》、《网络通信安全管理办法》、《主机和系统安全管理办法》、《数据安全管理办法》、《应用业务安全管理办法》、《安全事件处置和应急响应管理办法》、《在外托管业务系统管理办法》、《工作人员信息安全管理办法》……
2.2.2信息安全管理体系操作指南
2.2.2.1面向对象
信息中心及部署在信息中心的政务网站和应用系统。
2.2.2.2内容设计
不同于2.1节中要求、规范式的信息安全管理办法,本节内容面向更小的范围,结合信息系统运行管理的具体工作流程,制定针对性的信息安全管理措施和操作流程,包括信息安全年中的专项信息安全工作。
各委办局建议参照信息安全管理办法自行设计其内部工作指南文档,不在本次咨询工作任务范畴。在各部门操作指南明确的基础上,可以由信息安全管理体系咨询单位协调,共同编制完整的X区信息安全管理体系操作指南(对本节小范围指南任务的扩展),对信息系统建设的立项评估、建设监管、上线检测和运营管理等各个生命周期可能涉及的所有流程进行详细的规范和管理,编制流程化的操作指南和文档模板。
2.2.2.3任务描述
根据信息安全管理办法的要求,结合信息中心管理和网站体系需求,形成形包含“制度--指南--表单(模板)”三级文档的完整信息安全管理体系。
7 / 10
2.2.3应急响应体系建设
应急响应体系建设同样参考2.1节编制的信息安全管理办法要求,根据对X区信息安全现状的系统调研,分为以下几个部分实施:
(1)应急响应总体要求和制度建设:明确应急响应体系建设的目标、内容和总体规范;
(2)各委办局和信息系统专项应急预案规范和检查:根据应急响应体系要求,协助各单位和信息系统管理部门完成专项和特殊时期/事件应急预案,并对各级预案的调用关系进行梳理,形成《应急处置简明工作表》和《应急事件处理流程》等文档;
(3)灾难备份和灾难恢复体系完善:根据应急响应总体预案和各单位专项预案的编写情况,指导各单位灾难备份和灾难恢复工作落实,管理制度和可操作的技术手段现行,并制定后续技术保障规划;
(4)应急演练和处置流程完善:根据限制完成的预案文档集,组织和协调编制应急演练剧本,对主要的信息安全威胁均应组织不少于一次的应急演练。
2.2.4信息安全管理体系验证手段
技术验证手段虽然与信息安全管理体系建设并未产生直接联系,但仍需根据管理体系要求,设计规划完整的操作流程和规范的检测验证输出,信息安全管理体系验证手段至少应包含以下内容:
(1)技术监管体系: A:对外发布,主要是网站群的监管(政务网站群、委办局网站等); B:内部安全监管(网X全、恶意代码检测等); C:客户端监管(桌面管理、安全、杀毒软件等); D:移动互联网办公(web平台)监控;
(2)评估检查机制: A:委托第三方进行定期风险评估和分析 B:信息系统运营单位根据管理体系的流程要求进行定期技术检查。
8 / 10
2.3管理体系工作流程
2.3.1参与信息安全总体战略规划讨论制定
建议信息安全管理体系建设咨询团队参与战略规划前期调研和设计过程,以便更好地将战略规划转化为具体的管理办法。
2.3.2编写管理体系总体要求(即《信息安全管理办法》)
具体工作流程主要包括:现场调研?框架设计?用户沟通?文档开发?用户沟通?修订完善?讨论定稿?管理办法发布?宣贯培训。
培训阶段主要包括两部分内容:
(1)对各委办局和信息系统管理单位负责人进行责任范围宣贯,签订责任协议;
(2)对各委办局和信息系统管理单位技术人员进行管理办法技术部分培训,并建议各单位与相关工作人员明确自身职责和签订责任协议。
2.3.3信息安全管理体系操作指南建设
与信息中心主管部门、系统运营管理单位充分沟通,结合现有工作流程编制完整的信息安全管理体系操作指南。
下述工作涉及各委办局权责边界和现有管理流程梳理,建议在各委办局完成自身信息安全管理体系操作指南后实施:
配合项目审批单位完善信息化项目立项审批和监督管理流程;
配合系统主管和建设运维单位完成信息化项目上线检测和运维管理流程规范、
2.3.4应急相应体系建设
(1)编制总体要求;
(2)指导各有关单位编制专项预案,并根据专项预案编制应急处理备忘录
9 / 10
和流程;
(3)组织进行应急演练。
2.3.5信息安全管理体系验证手段
(1)调研现有验证手段,规范散乱的监管模式,提供统一验证结论上报模式;
(2)建立风险评估和技术检查等新的验证流程。
三、费用预算
本次关于X区智慧政务信息安全管理体系建设项目的规划建设,对X区各单位的人员、设备、制度、技术支持等方面提出总体安全要求,约定其信息安全管理保障体系建设所应遵守的策略和规范,为信息安全年各项工作的顺利开展和之后信息安全保障能力的稳步提升提供参考依据。
关于详细的费用预算清单: 序号 1 5
服务项目 智慧政务信息安全管理体系建设 费用合计 单价(元) 数量 小计(元) 1年 人民币元 10 / 10
智慧政务信息安全管理体系建设咨询项目方案(正本)
